Подозрительные процессы в диспетчере задач.

@incognito · Регистрация: 08.04.2010

Author24 — интернет-сервис помощи студентам

Доброго времени суток. В последнее время стал замечать некие странные процессы в диспетчере. Хотелось бы услышать совет, если что-то обнаружится.
Подозрительно, что svchost.exe встречается по несколько раз.

Sanya · 30.05.2011, 20:46

Не по теме:

Сообщение от incognito

В чем смысл их занятия?

заработать денег...многие же идут и платят деньги за разблокировку баннеров

Сообщение от incognito

Развлечься?

такие тоже есть... программеры недоучки... или просто попробовать свои силы

Добавлено через 1 минуту

Не по теме:

Katharsis, щас придет и влепит нам предупреждение за флуд и офтопы :D

@incognito · 30.05.2011, 20:48 **[ТС]**

Не по теме:

Недавно знакомой "прислали" баннер. Типа нужно прислать СМС для разблокировки. Написали, что переустановка Винды не поможет.

Sanya · 30.05.2011, 20:52

Не по теме:

Сообщение от incognito

Написали, что переустановка Винды не поможет

ерунда все это.. убивается как и все остальные представители данного семейства

Добавлено через 39 секунд

Не по теме:

Давай тогда уж вопросы в ЛС задавай, а то уже флуд пошел :)

@incognito · 30.05.2011, 20:54 **[ТС]**

Вот у меня есть программа Unlocker Assistent. Раньше ее не было в Диспетчере. Она появлялась при ручном запуске. Теперь ее экзешник всегда там висит. Подозрительно. Есть еще несколько аналогичных программ.

Sanya · 30.05.2011, 20:57

incognito, все подозрительные проги можно проверить на www.virustotal.com
или в крайнеv случае обратится к нашим вирусоборцам

Eastman · 30.05.2011, 21:02

Сообщение от incognito

В чем смысл их занятия?

Не по теме:

а посмотри на статистику услуг хакеров и их стоимость - статистика, и поймёшь в чем дело, для них каждая машина - бонус

@Ciberst · 30.05.2011, 21:36

Сообщение от Памирыч

Был случай. На работу принесли комп с баннером. Гружусь с ERD-Commander'а (рекомендую, с ним я сворачиваю головы и баннерам и троям, как гусятам) захожу в реестр, вижу, вместо Explorer галимые буквы:
C:\Documents And Settings\Uzver\Application Data\ftehsf.exe
Вот он, потираю руки и чикаю это.
Довольный перезагружаю тачку и что бы вы думали? Баннер опять тут как тут!
Ничего не понимаю, захожу опять в реестр, чикаю все с обычной автозагрузки, снова удаляю этот аппликейшен, ставлю блок на Винлогон, чтобы никто не мог его переписать больше, Файл вредоносный удаляю, вместо него создаю папку ftehsf.exe, чтобы файл не записался.
Ну все, больше нечего ковырять, перезагружаюсь.
Хлоп - Снова наш друг!!! Да быть того не может. Снова влез - уже психую - сроду такого не было - 5 минут и комп чист. И совершенно случайно замечаю что иконки у диспетчера, Userinit - не их.
Так вот оно в чем дело! Со здоровой машины краду эти запчасти, прикручиваю к этому драбагану, и вуа-ля - все заработало.
Так что иногда мы имея вполне внятные записи в реестре имеем нездоровую модификацию системы!

я вот тут наткнулся на такую замечательную статью, с помощью этой проги не надо было бы ковыряться и разбираться так долго в чем дело, практически все в один клик.
и вот статья, читаем и радуемся http://forum.kaspersky.com/ind... try1664495

Sanya · 30.05.2011, 22:19

Не по теме:

Ciberst,

Сообщение от sanya72k

сидит не один файл заразы ... а два. при удалении одного...второй восстанавливает ег

второй файл еще не научились убивать в http://forum.kaspersky.com/ind... try1664495

Добавлено через 38 минут

Не по теме:

да еще и ссылка на форум

@incognito · 31.05.2011, 19:44 **[ТС]**

Значок папки странно отображается.

Памирыч · 31.05.2011, 19:51

А теперь через ТоталлКомандер зайди на флешку (со включенными системными и скрытыми файлами) и в корне флешки посмотри - есть ли файл autorun.inf?
Если есть, скопируй сюда содержимое, просто интересно.

@incognito · 31.05.2011, 19:55 **[ТС]**

Тотал Коммандер не имею. autorun.inf вижу. Как узнать содержимое - 2 раза щелкнуть по нему?

Не по теме:

666-ое сообщение.

@~~Katharsis~~ · 31.05.2011, 19:57

incognito, вы сами себе проблемы похоже выдумываете. Нормальный значок. Если вас всё ещё не перестали терзать подозрения в том что что-то у вас всё равно не так, вас уже давно взломали и тд, для перестраховки и профилактики проверьтесь CureIt`ом а потом AvpTool`ом, установите себе хороший антивирус, настройте фаервол, не сидите в инете под админской учеткой, не скачивайте того, что не знаете, не открывайте неизвестные ссылки, пореже посещайте соц. сети и другие злачные места (варезники, незнакомые порносайты), почитайте книгу "безопасный интернет" и спите спокойно.

Eastman · 31.05.2011, 20:00

наверно винде так больше нравится...

смени значок в свойствах как понравится...

@incognito · 31.05.2011, 20:01 **[ТС]**

Сообщение от Katharsis

incognito, вы сами себе проблемы похоже выдумываете.

Вы ошибаетесь.
Такой же случай был с USB-плеером. Он не открывался. Это ли не проблема. По-моему, так не должно быть.

@~~Katharsis~~ · 31.05.2011, 20:01

Если на флешках у вас что то периодически заводится (а оно почти у всех заводится) опять же чтобы спать спокойно - отключите автозапуск с носителей (кроме cdrom) и живите счастливо.

Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

Памирыч · 31.05.2011, 20:02

Katharsis безусловно прав, самый лучший антивирус - это умный пользователь.

Сообщение от incognito

2 раза щелкнуть по нему

Да и скопируй текст. Если файл будет занят чем-то и не откроется - плохо дело. Но попытайся хотя бы.

@incognito · 31.05.2011, 20:02 **[ТС]**

Сообщение от Katharsis

Нормальный значок.

Качество картинки не очень, но видны разноцветные точки.

@~~Katharsis~~ · 31.05.2011, 20:03

Сообщение от incognito

Такой же случай был с USB-плеером. Он не открывался.

значит MountPoints у вас прописаны. Такое бывает после заражения флеш вирусом.

@incognito · 31.05.2011, 20:05 **[ТС]**

Сообщение от Памирыч

Katharsis безусловно прав, самый лучший антивирус - это умный пользователь.

Да и скопируй текст. Если файл будет занят чем-то и не откроется - плохо дело. Но попытайся хотя бы.

Плохо дело?

Eastman · 31.05.2011, 20:06

обычно параметры отображения р.стола низкие...

Sanya 13176 / 4624 / 168 Регистрация: 25.10.2010 Сообщений: 9,413
	30.05.2011, 20:46	61
	Не по теме: Сообщение от incognito В чем смысл их занятия? заработать денег...многие же идут и платят деньги за разблокировку баннеров Сообщение от incognito Развлечься? такие тоже есть... программеры недоучки... или просто попробовать свои силы Добавлено через 1 минуту Не по теме: Katharsis, щас придет и влепит нам предупреждение за флуд и офтопы :D 0

Sanya 13176 / 4624 / 168 Регистрация: 25.10.2010 Сообщений: 9,413
	30.05.2011, 20:52	63
	Не по теме: Сообщение от incognito Написали, что переустановка Винды не поможет ерунда все это.. убивается как и все остальные представители данного семейства Добавлено через 39 секунд Не по теме: Давай тогда уж вопросы в ЛС задавай, а то уже флуд пошел :) 0

Sanya 13176 / 4624 / 168 Регистрация: 25.10.2010 Сообщений: 9,413
	30.05.2011, 20:57	65
	incognito, все подозрительные проги можно проверить на www.virustotal.com или в крайнеv случае обратится к нашим вирусоборцам 0

@Ciberst 558 / 435 / 21 Регистрация: 16.12.2010 Сообщений: 953
	30.05.2011, 21:36	67
	Сообщение от Памирыч Был случай. На работу принесли комп с баннером. Гружусь с ERD-Commander'а (рекомендую, с ним я сворачиваю головы и баннерам и троям, как гусятам) захожу в реестр, вижу, вместо Explorer галимые буквы: C:\Documents And Settings\Uzver\Application Data\ftehsf.exe Вот он, потираю руки и чикаю это. Довольный перезагружаю тачку и что бы вы думали? Баннер опять тут как тут! Ничего не понимаю, захожу опять в реестр, чикаю все с обычной автозагрузки, снова удаляю этот аппликейшен, ставлю блок на Винлогон, чтобы никто не мог его переписать больше, Файл вредоносный удаляю, вместо него создаю папку ftehsf.exe, чтобы файл не записался. Ну все, больше нечего ковырять, перезагружаюсь. Хлоп - Снова наш друг!!! Да быть того не может. Снова влез - уже психую - сроду такого не было - 5 минут и комп чист. И совершенно случайно замечаю что иконки у диспетчера, Userinit - не их. Так вот оно в чем дело! Со здоровой машины краду эти запчасти, прикручиваю к этому драбагану, и вуа-ля - все заработало. Так что иногда мы имея вполне внятные записи в реестре имеем нездоровую модификацию системы! я вот тут наткнулся на такую замечательную статью, с помощью этой проги не надо было бы ковыряться и разбираться так долго в чем дело, практически все в один клик. и вот статья, читаем и радуемся http://forum.kaspersky.com/ind... try1664495 0

Sanya 13176 / 4624 / 168 Регистрация: 25.10.2010 Сообщений: 9,413
	30.05.2011, 22:19	68
	Не по теме: Ciberst, Сообщение от sanya72k сидит не один файл заразы ... а два. при удалении одного...второй восстанавливает ег второй файл еще не научились убивать в http://forum.kaspersky.com/ind... try1664495 Добавлено через 38 минут Не по теме: да еще и ссылка на форум 0

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
		1
	Подозрительные процессы в диспетчере задач. 28.05.2011, 01:28. Показов 10289. Ответов 112 Метки нет (Все метки) Доброго времени суток. В последнее время стал замечать некие странные процессы в диспетчере. Хотелось бы услышать совет, если что-то обнаружится. Подозрительно, что svchost.exe встречается по несколько раз. Миниатюры 0

@incognito
	30.05.2011, 20:48 [ТС] #62
	Не по теме: Недавно знакомой "прислали" баннер. Типа нужно прислать СМС для разблокировки. Написали, что переустановка Винды не поможет. 0

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	30.05.2011, 20:54 [ТС]	64
	Вот у меня есть программа Unlocker Assistent. Раньше ее не было в Диспетчере. Она появлялась при ручном запуске. Теперь ее экзешник всегда там висит. Подозрительно. Есть еще несколько аналогичных программ. 0

Eastman 5756 / 1694 / 43 Регистрация: 17.04.2011 Сообщений: 8,556
	30.05.2011, 21:02	66
	Сообщение от incognito В чем смысл их занятия? Не по теме: а посмотри на статистику услуг хакеров и их стоимость - статистика, и поймёшь в чем дело, для них каждая машина - бонус 0

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	31.05.2011, 19:44 [ТС]	69
	Значок папки странно отображается. Миниатюры 0

Памирыч Почетный модератор 21413 / 9147 / 1083 Регистрация: 11.04.2010 Сообщений: 11,014
	31.05.2011, 19:51	70
	А теперь через ТоталлКомандер зайди на флешку (со включенными системными и скрытыми файлами) и в корне флешки посмотри - есть ли файл autorun.inf? Если есть, скопируй сюда содержимое, просто интересно. 1

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	31.05.2011, 19:55 [ТС]	71
	Тотал Коммандер не имею. autorun.inf вижу. Как узнать содержимое - 2 раза щелкнуть по нему? Не по теме: 666-ое сообщение. 0

@~~Katharsis~~ Заблокирован
	31.05.2011, 19:57	72
	incognito, вы сами себе проблемы похоже выдумываете. Нормальный значок. Если вас всё ещё не перестали терзать подозрения в том что что-то у вас всё равно не так, вас уже давно взломали и тд, для перестраховки и профилактики проверьтесь CureIt`ом а потом AvpTool`ом, установите себе хороший антивирус, настройте фаервол, не сидите в инете под админской учеткой, не скачивайте того, что не знаете, не открывайте неизвестные ссылки, пореже посещайте соц. сети и другие злачные места (варезники, незнакомые порносайты), почитайте книгу "безопасный интернет" и спите спокойно. 1

Eastman 5756 / 1694 / 43 Регистрация: 17.04.2011 Сообщений: 8,556
	31.05.2011, 20:00	73
	наверно винде так больше нравится... смени значок в свойствах как понравится... 1

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	31.05.2011, 20:01 [ТС]	74
	Сообщение от Katharsis incognito, вы сами себе проблемы похоже выдумываете. Вы ошибаетесь. Такой же случай был с USB-плеером. Он не открывался. Это ли не проблема. По-моему, так не должно быть. 0

	31.05.2011, 20:06

@~~Katharsis~~ Заблокирован
	31.05.2011, 20:01	75
	Если на флешках у вас что то периодически заводится (а оно почти у всех заводится) опять же чтобы спать спокойно - отключите автозапуск с носителей (кроме cdrom) и живите счастливо. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду: REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 Нажмите enter. Для подтверждения перезаписи нажмите Y. 1

Памирыч Почетный модератор 21413 / 9147 / 1083 Регистрация: 11.04.2010 Сообщений: 11,014
	31.05.2011, 20:02	76
	Katharsis безусловно прав, самый лучший антивирус - это умный пользователь. Сообщение от incognito 2 раза щелкнуть по нему Да и скопируй текст. Если файл будет занят чем-то и не откроется - плохо дело. Но попытайся хотя бы. 1

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	31.05.2011, 20:02 [ТС]	77
	Сообщение от Katharsis Нормальный значок. Качество картинки не очень, но видны разноцветные точки. 0

@~~Katharsis~~ Заблокирован
	31.05.2011, 20:03	78
	Сообщение от incognito Такой же случай был с USB-плеером. Он не открывался. значит MountPoints у вас прописаны. Такое бывает после заражения флеш вирусом. 1

@incognito 153 / 145 / 2 Регистрация: 08.04.2010 Сообщений: 1,010
	31.05.2011, 20:05 [ТС]	79
	Сообщение от Памирыч Katharsis безусловно прав, самый лучший антивирус - это умный пользователь. Да и скопируй текст. Если файл будет занят чем-то и не откроется - плохо дело. Но попытайся хотя бы. Плохо дело? Миниатюры 0